MANI-Pure : Injection de bruit à magnitude adaptative pour la purification contre les attaques adverses
MANI-Pure: Magnitude-Adaptive Noise Injection for Adversarial Purification
September 29, 2025
papers.authors: Xiaoyi Huang, Junwei Wu, Kejia Zhang, Carl Yang, Zhiming Luo
cs.AI
papers.abstract
La purification adversarial avec des modèles de diffusion est apparue comme une stratégie de défense prometteuse, mais les méthodes existantes reposent généralement sur l'injection de bruit uniforme, qui perturbe indistinctement toutes les fréquences, corrompant les structures sémantiques et compromettant la robustesse. Notre étude empirique révèle que les perturbations adverses ne sont pas uniformément réparties : elles sont principalement concentrées dans les régions de haute fréquence, avec des motifs d'intensité de magnitude hétérogènes qui varient selon les fréquences et les types d'attaques. Motivés par cette observation, nous introduisons MANI-Pure, un cadre de purification adaptatif en magnitude qui exploite le spectre de magnitude des entrées pour guider le processus de purification. Au lieu d'injecter un bruit homogène, MANI-Pure applique de manière adaptative un bruit hétérogène ciblé en fréquence, supprimant efficacement les perturbations adverses dans les bandes fragiles de haute fréquence et de faible magnitude tout en préservant le contenu sémantique critique de basse fréquence. Des expériences approfondies sur CIFAR-10 et ImageNet-1K valident l'efficacité de MANI-Pure. Il réduit l'écart de précision sur les données propres à moins de 0,59 par rapport au classificateur original, tout en augmentant la précision robuste de 2,15, et atteint la première place en précision robuste sur le classement RobustBench, surpassant la méthode précédente de pointe.
English
Adversarial purification with diffusion models has emerged as a promising
defense strategy, but existing methods typically rely on uniform noise
injection, which indiscriminately perturbs all frequencies, corrupting semantic
structures and undermining robustness. Our empirical study reveals that
adversarial perturbations are not uniformly distributed: they are predominantly
concentrated in high-frequency regions, with heterogeneous magnitude intensity
patterns that vary across frequencies and attack types. Motivated by this
observation, we introduce MANI-Pure, a magnitude-adaptive purification
framework that leverages the magnitude spectrum of inputs to guide the
purification process. Instead of injecting homogeneous noise, MANI-Pure
adaptively applies heterogeneous, frequency-targeted noise, effectively
suppressing adversarial perturbations in fragile high-frequency, low-magnitude
bands while preserving semantically critical low-frequency content. Extensive
experiments on CIFAR-10 and ImageNet-1K validate the effectiveness of
MANI-Pure. It narrows the clean accuracy gap to within 0.59 of the original
classifier, while boosting robust accuracy by 2.15, and achieves the top-1
robust accuracy on the RobustBench leaderboard, surpassing the previous
state-of-the-art method.